SCEP आणि PKCS द्वारे Microsoft Intune WiFi प्रमाणपत्र उपयोजन

हे मार्गदर्शक SCEP आणि PKCS वापरून Microsoft Intune द्वारे WiFi ऑथेंटिकेशन प्रमाणपत्रे तैनात करण्यासाठी टप्प्याटप्प्याने तांत्रिक संदर्भ प्रदान करते. हे एंटरप्राइझ वातावरणात अखंड, सुरक्षित कनेक्टिव्हिटी सुनिश्चित करण्यासाठी पासवर्डलेस 802.1X WiFi लागू करणाऱ्या IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्ससाठी डिझाइन केले आहे.

📖 6 मिनिट वाचन📝 1,299 शब्द🔧 2 सोडवलेली उदाहरणे❓ 3 सराव प्रश्न📚 8 महत्वाच्या व्याख्या

महत्वाचे मुद्दे

✓802.1X EAP-TLS हे सुरक्षित एंटरप्राइझ WiFi साठी मानक आहे, ज्यासाठी सर्व उपकरणांवर क्लायंट प्रमाणपत्रे आवश्यक आहेत.
✓Microsoft Intune SCEP किंवा PKCS प्रोफाइल्स वापरून मोठ्या प्रमाणावर प्रमाणपत्र उपयोजन स्वयंचलित करते.
✓WiFi साठी SCEP ची अत्यंत शिफारस केली जाते कारण खाजगी की स्थानिक पातळीवर तयार केली जाते आणि ती कधीही डिव्हाइस सोडत नाही.
✓उपयोजनासाठी कठोर क्रम आवश्यक आहे: 1) Trusted Root, 2) SCEP Profile, 3) Wi-Fi Profile.
✓अवलंबित्व अपयश टाळण्यासाठी ग्रुप टार्गेटिंग (User वि. Device) तिन्ही प्रोफाइल्समध्ये समान असणे आवश्यक आहे.
✓सुरक्षित, रिमोट प्रमाणपत्र प्रोव्हिजनिंगला अनुमती देण्यासाठी NDES सर्व्हर्स Azure AD App Proxy द्वारे प्रकाशित केले जावेत.
✓रद्द केलेली प्रमाणपत्रे नेटवर्क ॲक्सेस करू शकणार नाहीत याची खात्री करण्यासाठी RADIUS सर्व्हरवर कठोर CRL चेकिंग अनिवार्य आहे.

📚 Part of our core series: Enterprise WiFi security and authentication: the complete guide →

कार्यकारी सारांश

एंटरप्राइझ ठिकाणांसाठी—मग ते गजबजलेले Hospitality वातावरण असो, मल्टी-साइट Retail ऑपरेशन्स असोत किंवा आधुनिक कॉर्पोरेट कॅम्पस असो—कर्मचाऱ्यांच्या WiFi साठी प्री-शेअर्ड की किंवा बेसिक Captive Portal वर अवलंबून राहणे ही एक सुरक्षा भेद्यता आणि ऑपरेशनल अडचण आहे. आधुनिक नेटवर्क आर्किटेक्चरला EAP-TLS वापरून 802.1X ऑथेंटिकेशनची आवश्यकता असते, जे नेटवर्कमध्ये प्रवेश करण्यापूर्वी प्रत्येक डिव्हाइसची क्रिप्टोग्राफिकरित्या पडताळणी केली जाते याची खात्री करते.

तथापि, वितरणामध्ये एक आव्हान आहे: तुमच्या हेल्पडेस्कला सपोर्ट तिकिटांच्या ओझ्यात न अडकवता हजारो Windows, iOS आणि Android उपकरणांवर युनिक क्लायंट प्रमाणपत्रे कशी तैनात करावीत? Microsoft Intune स्वयंचलित प्रमाणपत्र जीवनचक्र व्यवस्थापनाद्वारे हे सोडवते. SCEP (Simple Certificate Enrollment Protocol) किंवा PKCS (Public Key Cryptography Standards) प्रमाणपत्र प्रोफाइल्सचा फायदा घेऊन, IT टीम्स व्यवस्थापित एंडपॉइंट्सवर विश्वसनीय रूट आणि क्लायंट प्रमाणपत्रे शांतपणे पुश करू शकतात.

हे मार्गदर्शक Intune WiFi प्रमाणपत्र उपयोजनासाठी एक निश्चित आर्किटेक्चरल ब्लूप्रिंट आणि टप्प्याटप्प्याने अंमलबजावणी धोरण प्रदान करते. आम्ही SCEP आणि PKCS मधील महत्त्वपूर्ण फरकांचा शोध घेऊ, यशासाठी आवश्यक असलेल्या अचूक उपयोजन क्रमाचा तपशील देऊ आणि तुमचे Guest WiFi आणि कॉर्पोरेट नेटवर्क सुरक्षित आणि कार्यक्षम राहतील याची खात्री करण्यासाठी वास्तविक-जगातील जोखीम कमी करण्याच्या धोरणांची रूपरेषा देऊ.

सोबतचे पॉडकास्ट ब्रीफिंग ऐका: microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

तांत्रिक सखोल माहिती: SCEP वि. PKCS

तुमची Intune WiFi प्रमाणपत्र उपयोजन रणनीती डिझाइन करताना, पहिला आर्किटेक्चरल निर्णय म्हणजे प्रमाणपत्र वितरण यंत्रणा निवडणे. Intune SCEP आणि PKCS दोन्हीला सपोर्ट करते, परंतु ते मूलभूतपणे वेगळ्या प्रकारे कार्य करतात.

SCEP (Simple Certificate Enrollment Protocol)

एंटरप्राइझ डिव्हाइस एनरोलमेंटसाठी SCEP हे इंडस्ट्री स्टँडर्ड आहे. SCEP वर्कफ्लोमध्ये, Intune सेवा एंडपॉइंटला स्वतःची खाजगी/सार्वजनिक की जोडी तयार करण्याची सूचना देते. त्यानंतर डिव्हाइस सर्टिफिकेट साइनिंग रिक्वेस्ट (CSR) तयार करते आणि नेटवर्क डिव्हाइस एनरोलमेंट सर्व्हिस (NDES) सर्व्हरद्वारे तुमच्या सर्टिफिकेट ऑथॉरिटी (CA) कडे पाठवते. CA विनंतीवर स्वाक्षरी करते आणि सार्वजनिक प्रमाणपत्र डिव्हाइसला परत करते.

SCEP चा महत्त्वपूर्ण सुरक्षा फायदा हा आहे की खाजगी की कधीही डिव्हाइस सोडत नाही. ती स्थानिक पातळीवर तयार केली जाते, डिव्हाइसच्या सुरक्षित एन्क्लेव्हमध्ये (जसे की Windows वरील TPM किंवा iOS वरील Secure Enclave) संग्रहित केली जाते आणि नेटवर्कवर कधीही प्रसारित केली जात नाही. यामुळे 802.1X ऑथेंटिकेशनसाठी SCEP हा अत्यंत शिफारस केलेला दृष्टिकोन बनतो.

PKCS (Public Key Cryptography Standards)

याउलट, PKCS सह, सर्टिफिकेट ऑथॉरिटी सार्वजनिक आणि खाजगी दोन्ही की मध्यवर्तीरित्या तयार करते. त्यानंतर Microsoft Intune Certificate Connector ही की जोडी सुरक्षितपणे एक्सपोर्ट करते आणि लक्ष्यित डिव्हाइसवर पुश करते.

PKCS मुळे NDES सर्व्हर तैनात करण्याची आणि देखरेख करण्याची आवश्यकता दूर होत असली तरी—ज्यामुळे इन्फ्रास्ट्रक्चर फूटप्रिंट सोपी होते—ते एक सैद्धांतिक सुरक्षा जोखीम निर्माण करते कारण खाजगी की नेटवर्कवर प्रसारित केली जाते. नेटवर्क ऑथेंटिकेशन ऐवजी S/MIME ईमेल एन्क्रिप्शन सारख्या की एस्क्रो आवश्यक असलेल्या प्रकरणांसाठी PKCS सामान्यतः अधिक योग्य आहे.

अंमलबजावणी मार्गदर्शक: उपयोजन क्रम

802.1X साठी Intune WiFi प्रोफाइल यशस्वीरित्या कॉन्फिगर करण्यासाठी विशिष्ट उपयोजन क्रमाचे काटेकोरपणे पालन करणे आवश्यक आहे. Intune प्रोफाइल अवलंबित्वे हे निर्देशित करतात की ऑथेंटिकेशन कॉन्फिगर करण्यापूर्वी विश्वास प्रस्थापित करणे आवश्यक आहे.

पायरी 1: Trusted Root Certificate Profile तैनात करा

कोणत्याही डिव्हाइसने क्लायंट प्रमाणपत्राची विनंती करण्यापूर्वी किंवा तुमच्या RADIUS सर्व्हरवर विश्वास ठेवण्यापूर्वी, त्याने जारी करणाऱ्या सर्टिफिकेट ऑथॉरिटीवर विश्वास ठेवला पाहिजे.

तुमचे Root CA प्रमाणपत्र (आणि कोणतीही Intermediate CA प्रमाणपत्रे) .cer फाइल्स म्हणून एक्सपोर्ट करा.
Microsoft Endpoint Manager ॲडमिन सेंटरमध्ये, Devices > Configuration profiles > Create profile वर जा.
लक्ष्यित प्लॅटफॉर्म निवडा (उदा. Windows 10 आणि नंतरचे) आणि Trusted certificate प्रोफाइल प्रकार निवडा.
.cer फाइल अपलोड करा आणि हे प्रोफाइल तुमच्या लक्ष्यित डिव्हाइस ग्रुप्सवर तैनात करा.

सर्वसाधारण नियम: उपयोजनातील विसंगती टाळण्यासाठी सर्व संबंधित प्रोफाइल्समध्ये नेहमी समान ग्रुप्सना (एकतर Users किंवा Devices) लक्ष्य करा.

पायरी 2: SCEP Certificate Profile कॉन्फिगर करा

एकदा विश्वास प्रस्थापित झाल्यानंतर, डिव्हाइसेसना त्यांचे क्लायंट प्रमाणपत्र कसे मिळवायचे याची सूचना देण्यासाठी SCEP प्रोफाइल कॉन्फिगर करा.

नवीन कॉन्फिगरेशन प्रोफाइल तयार करा आणि SCEP certificate निवडा.
Subject name format कॉन्फिगर करा. युजर-चालित ऑथेंटिकेशनसाठी, CN={{UserPrincipalName}} हे मानक आहे. डिव्हाइस ऑथेंटिकेशनसाठी, CN={{AAD_Device_ID}} वापरा.
Key usage हे Digital signature आणि Key encipherment वर सेट करा.
Extended key usage अंतर्गत, Client Authentication (OID: 1.3.6.1.5.5.7.3.2) निर्दिष्ट करा.
हे प्रोफाइल पायरी 1 मध्ये तयार केलेल्या Trusted Root प्रमाणपत्र प्रोफाइलशी लिंक करा.
तुमच्या NDES सर्व्हरची बाह्य URL प्रदान करा.

पायरी 3: 802.1X WiFi Profile तैनात करा

अंतिम पायरी म्हणजे WiFi कॉन्फिगरेशन पुश करणे जे प्रमाणपत्रांना नेटवर्क SSID शी जोडते.

एक Wi-Fi कॉन्फिगरेशन प्रोफाइल तयार करा.
तुमच्या Wireless Access Points द्वारे प्रसारित केल्याप्रमाणे Network name (SSID) अचूकपणे प्रविष्ट करा.
सुरक्षा प्रकार म्हणून WPA2-Enterprise किंवा WPA3-Enterprise निवडा.
EAP type हे EAP-TLS वर सेट करा.
ऑथेंटिकेशन सेटिंग्जमध्ये, क्लायंट ऑथेंटिकेशन प्रमाणपत्र म्हणून पायरी 2 मध्ये तयार केलेले SCEP प्रमाणपत्र प्रोफाइल निवडा.
डिव्हाइस केवळ तुमच्या कायदेशीर RADIUS सर्व्हरशी कनेक्ट होईल याची खात्री करण्यासाठी सर्व्हर प्रमाणीकरणासाठी Trusted Root प्रमाणपत्र निर्दिष्ट करा.

सर्वोत्तम पद्धती आणि उद्योग मानके

Intune WiFi प्रमाणपत्र उपयोजनाची अंमलबजावणी करताना, अनुपालन आणि विश्वासार्हता सुनिश्चित करण्यासाठी खालील व्हेंडर-न्यूट्रल सर्वोत्तम पद्धतींचे पालन करा.

NDES सर्व्हर प्लेसमेंट आणि सुरक्षा

रिमोट डिव्हाइसेसना साइटवर येण्यापूर्वी प्रमाणपत्रे मिळवण्याची परवानगी देण्यासाठी NDES सर्व्हर इंटरनेटवरून प्रवेश करण्यायोग्य असणे आवश्यक आहे. तथापि, अंतर्गत सर्व्हर थेट इंटरनेटवर उघड करणे ही एक मोठी सुरक्षा जोखीम आहे.

शिफारस: Azure AD Application Proxy वापरून NDES URL प्रकाशित करा. हे इनबाउंड फायरवॉल पोर्ट्स न उघडता सुरक्षित रिमोट ॲक्सेस प्रदान करते आणि तुम्हाला एनरोलमेंट फ्लोवर Conditional Access धोरणे लागू करण्याची अनुमती देते.

RADIUS आणि CRL चेकिंग

प्रमाणपत्र उपयोजन हे सुरक्षा समीकरणाचा फक्त अर्धा भाग आहे; रिव्होकेशन तितकेच महत्त्वपूर्ण आहे. जर एखाद्या कर्मचाऱ्याला कामावरून काढले असेल, तर त्यांचे Active Directory खाते अक्षम केल्याने त्यांचा WiFi ॲक्सेस त्वरित रद्द होऊ शकत नाही जर त्यांचे क्लायंट प्रमाणपत्र वैध राहिले आणि RADIUS सर्व्हर Certificate Revocation List (CRL) काटेकोरपणे तपासत नसेल.

शिफारस: कठोर CRL चेकिंग लागू करण्यासाठी तुमचा Network Policy Server (NPS) किंवा RADIUS सर्व्हर कॉन्फिगर करा. तुमचे CRL Distribution Points (CDPs) अत्यंत उपलब्ध असल्याची खात्री करा; जर RADIUS सर्व्हर CRL पर्यंत पोहोचू शकला नाही, तर ऑथेंटिकेशन अयशस्वी होईल, ज्यामुळे व्यापक आउटेज होईल.

सुरक्षित नेटवर्क डिझाइनवरील अधिक माहितीसाठी, The Core SD WAN Benefits for Modern Businesses चे पुनरावलोकन करण्याचा विचार करा.

ट्रबलशूटिंग आणि जोखीम निवारण

बारकाईने नियोजन करूनही, प्रमाणपत्र उपयोजनामध्ये समस्या येऊ शकतात. येथे सामान्य अपयश प्रकार आणि निवारण धोरणे आहेत.

समस्या: WiFi Profile लागू होण्यात अपयश

लक्षण: डिव्हाइसला Trusted Root आणि SCEP प्रमाणपत्रे प्राप्त होतात, परंतु WiFi प्रोफाइल Intune मध्ये 'Error' किंवा 'Not Applicable' म्हणून दर्शविले जाते.

मूळ कारण: हे जवळजवळ नेहमीच ग्रुप टार्गेटिंगमधील विसंगतीमुळे होते. जर SCEP प्रोफाइल User Group ला नियुक्त केले असेल, परंतु WiFi प्रोफाइल Device Group ला नियुक्त केले असेल, तर Intune अवलंबित्व सोडवू शकत नाही.

निवारण: तुमच्या असाइनमेंट्सचे ऑडिट करा. Trusted Root, SCEP आणि WiFi प्रोफाइल्स सर्व अगदी समान Azure AD ग्रुपवर तैनात केले आहेत याची खात्री करा.

समस्या: NDES 403 Forbidden Errors

लक्षण: डिव्हाइसेस SCEP प्रमाणपत्र प्राप्त करण्यात अयशस्वी होतात आणि NDES IIS लॉग HTTP 403 त्रुटी दर्शवतात.

मूळ कारण: Intune Certificate Connector सर्व्हिस अकाउंटकडे प्रमाणपत्र टेम्पलेटवर आवश्यक परवानग्या नाहीत किंवा तुमच्या फायरवॉलवरील URL फिल्टरिंग SCEP द्वारे वापरल्या जाणाऱ्या विशिष्ट क्वेरी स्ट्रिंग पॅरामीटर्सना ब्लॉक करत आहे.

निवारण: कनेक्टर अकाउंटकडे CA टेम्पलेटवर 'Read' आणि 'Enroll' परवानग्या आहेत याची पडताळणी करा. ?operation=GetCACaps असलेल्या URLs ब्लॉक केल्या जात नाहीत याची खात्री करण्यासाठी फायरवॉल लॉग तपासा.

ROI आणि व्यावसायिक प्रभाव

Microsoft Intune 802.1X प्रमाणपत्र उपयोजनाकडे संक्रमण केल्याने सुरक्षा आणि ऑपरेशन्समध्ये मोजता येण्याजोगे परतावे मिळतात.

हेल्पडेस्क तिकिटांमध्ये घट: पासवर्ड-आधारित WiFi मोठ्या प्रमाणात सपोर्ट तिकिटे (पासवर्ड कालबाह्य होणे, लॉकआउट्स, टायपोज) तयार करते. प्रमाणपत्र-आधारित ऑथेंटिकेशन वापरकर्त्यासाठी अदृश्य असते, जे सामान्यतः WiFi-संबंधित हेल्पडेस्क व्हॉल्यूम 70-80% ने कमी करते.
वर्धित सुरक्षा स्थिती: EAP-TLS क्रेडेंशियल हार्वेस्टिंग आणि मॅन-इन-द-मिडल (MitM) हल्ल्यांचा धोका दूर करते. PCI DSS आणि GDPR सारख्या फ्रेमवर्कच्या अनुपालनासाठी हे महत्त्वपूर्ण आहे, विशेषतः Healthcare आणि रिटेल वातावरणात.
अडथळामुक्त ऑनबोर्डिंग: Windows सोबत Apple उपकरणांचे मोठे ताफे व्यवस्थापित करणाऱ्या संस्थांसाठी, विद्यमान MDM वर्कफ्लोसह Intune एकत्रित करणे (आमचे Jamf and RADIUS: Certificate-Based WiFi Authentication for Apple Device Fleets वरील मार्गदर्शक पहा) पहिल्या दिवसापासून एक युनिफाइड, झिरो-टच प्रोव्हिजनिंग अनुभव सुनिश्चित करते.

महत्वाच्या व्याख्या

SCEP (Simple Certificate Enrollment Protocol)

एक प्रोटोकॉल जो उपकरणांना सर्टिफिकेट ऑथॉरिटीकडून डिजिटल प्रमाणपत्रांची विनंती करण्याची अनुमती देतो, जिथे खाजगी की तयार केली जाते आणि डिव्हाइसवरच सुरक्षितपणे संग्रहित केली जाते.

उच्च सुरक्षा आणि स्केलेबिलिटीमुळे WiFi ऑथेंटिकेशन प्रमाणपत्रे तैनात करण्यासाठी शिफारस केलेली पद्धत.

PKCS (Public Key Cryptography Standards)

मानकांचा एक संच जिथे सार्वजनिक आणि खाजगी दोन्ही की सर्टिफिकेट ऑथॉरिटीद्वारे तयार केल्या जातात आणि नंतर एंडपॉइंटवर सुरक्षितपणे वितरित केल्या जातात.

अनेकदा S/MIME ईमेल एन्क्रिप्शनसाठी वापरले जाते, परंतु खाजगी की च्या नेटवर्क ट्रान्समिशनमुळे WiFi साठी कमी आदर्श आहे.

NDES (Network Device Enrollment Service)

एक Microsoft Windows Server रोल जो ब्रिज म्हणून काम करतो, डोमेन क्रेडेंशियल्स नसलेल्या उपकरणांना SCEP द्वारे प्रमाणपत्रे मिळवण्याची अनुमती देतो.

Microsoft Intune सह SCEP प्रमाणपत्र उपयोजन लागू करताना एक आवश्यक इन्फ्रास्ट्रक्चर घटक.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

सर्वात सुरक्षित 802.1X ऑथेंटिकेशन पद्धत, ज्यासाठी सर्व्हर आणि क्लायंट दोघांनाही वैध डिजिटल प्रमाणपत्रे सादर करणे आवश्यक आहे.

लक्ष्यित ऑथेंटिकेशन प्रोटोकॉल जो सक्षम करण्यासाठी Intune WiFi आणि प्रमाणपत्र प्रोफाइल्स डिझाइन केलेले आहेत.

CRL (Certificate Revocation List)

सर्टिफिकेट ऑथॉरिटीद्वारे प्रकाशित केलेली एक सूची ज्यामध्ये त्यांच्या कालबाह्य तारखेपूर्वी रद्द केलेल्या प्रमाणपत्रांचे अनुक्रमांक असतात.

सुरक्षेसाठी महत्त्वपूर्ण; कामावरून काढलेले कर्मचारी अन्यथा वैध प्रमाणपत्र वापरून WiFi ॲक्सेस करू शकणार नाहीत याची खात्री करण्यासाठी RADIUS सर्व्हर्सनी CRL तपासणे आवश्यक आहे.

Intune Certificate Connector

ऑन-प्रिमाइसेस Windows Server वर स्थापित केलेला एक सॉफ्टवेअर एजंट जो Microsoft Intune आणि अंतर्गत सर्टिफिकेट ऑथॉरिटी यांच्यातील विनंत्यांची मध्यस्थी करतो.

SCEP (विनंत्या प्रमाणित करण्यासाठी) आणि PKCS (की एक्सपोर्ट करण्यासाठी) दोन्ही उपयोजनांसाठी आवश्यक.

Subject Alternative Name (SAN)

डिजिटल प्रमाणपत्राचा एक विस्तार जो एकाधिक मूल्यांना (जसे की UPN, ईमेल किंवा MAC ॲड्रेस) प्रमाणपत्राशी जोडण्याची अनुमती देतो.

RADIUS सर्व्हर वापरकर्ता किंवा डिव्हाइस अचूकपणे ओळखू शकेल याची खात्री करण्यासाठी Intune SCEP प्रोफाइलमध्ये कॉन्फिगर केले जाते.

Azure AD Application Proxy

एक वैशिष्ट्य जे VPN ची आवश्यकता नसताना किंवा इनबाउंड फायरवॉल पोर्ट्स न उघडता ऑन-प्रिमाइसेस वेब ॲप्लिकेशन्सना सुरक्षित रिमोट ॲक्सेस प्रदान करते.

रिमोट डिव्हाइस एनरोलमेंटसाठी अंतर्गत NDES सर्व्हर URL इंटरनेटवर सुरक्षितपणे प्रकाशित करण्यासाठी सर्वोत्तम सराव पद्धत.

सोडवलेली उदाहरणे

500 ठिकाणे असलेली एक राष्ट्रीय रिटेल साखळी त्यांच्या स्टोअर असोसिएट टॅब्लेट्ससाठी (Android Enterprise Dedicated Devices) WPA2-Personal (Pre-Shared Key) वरून WPA3-Enterprise वर स्थलांतरित होत आहे. ते MDM साठी Intune वापरतात. त्यांनी प्रमाणपत्र उपयोजनाचे आर्किटेक्चर कसे करावे?

Azure AD App Proxy द्वारे प्रकाशित केलेला NDES सर्व्हर तैनात करा.
Intune मध्ये डिव्हाइस-आधारित SCEP प्रमाणपत्र प्रोफाइल तयार करा, कारण ही समर्पित (किओस्क) उपकरणे आहेत जी विशिष्ट वापरकर्त्याशी जोडलेली नाहीत. Subject Name साठी CN={{AAD_Device_ID}} वापरा.
'All Store Tablets' Azure AD Device Group वर Root CA प्रोफाइल तैनात करा.
त्याच 'All Store Tablets' ग्रुपवर SCEP प्रोफाइल तैनात करा.
SCEP प्रोफाइलचा संदर्भ देऊन WPA3-Enterprise, EAP-TLS साठी कॉन्फिगर केलेले Wi-Fi प्रोफाइल तयार करा आणि ते त्याच ग्रुपवर तैनात करा.
Active Directory कॉम्प्युटर ऑब्जेक्ट्सच्या विरूद्ध डिव्हाइस प्रमाणपत्रांचे प्रमाणीकरण करण्यासाठी मध्यवर्ती RADIUS सर्व्हर्स कॉन्फिगर करा.

परीक्षकाचे भाष्य: हा दृष्टिकोन योग्यरित्या ओळखतो की समर्पित उपकरणांना डिव्हाइस-आधारित (वापरकर्ता-आधारित नाही) प्रमाणपत्रांची आवश्यकता असते. तिन्ही प्रोफाइल्समध्ये सातत्याने Device Groups ला लक्ष्य करून, आर्किटेक्ट सर्वात सामान्य Intune उपयोजन अपयश टाळतो. NDES साठी Azure AD App Proxy वापरल्याने टॅब्लेट्स VPN शिवाय सुरक्षितपणे प्रमाणपत्रे रिन्यू करू शकतात याची खात्री होते.

एक मोठे कॉन्फरन्स सेंटर त्यांच्या [WiFi Analytics](/products/wifi-analytics) आणि Guest WiFi साठी Purple वापरते, परंतु त्यांना त्यांचे अंतर्गत कर्मचारी नेटवर्क सुरक्षित करण्याची आवश्यकता आहे. कर्मचारी कॉर्पोरेट-मालकीचे Windows लॅपटॉप आणि BYOD iOS उपकरणांचे मिश्रण वापरतात. ते BYOD उपकरणांसाठी Intune उपयोजन कसे हाताळतात?

BYOD वापरकर्त्यांना त्यांची iOS उपकरणे Intune User Enrollment द्वारे (सुरक्षित वर्क पार्टिशन तयार करून) एनरोल करणे आवश्यक करा.
CN={{UserPrincipalName}} वापरून युजर-आधारित SCEP प्रमाणपत्र प्रोफाइल तयार करा.
Azure AD User Group (उदा. 'All Staff') वर Root CA, SCEP आणि Wi-Fi प्रोफाइल्स तैनात करा.
जेव्हा वापरकर्ता त्यांचे वैयक्तिक डिव्हाइस एनरोल करतो, तेव्हा Intune विशेषतः व्यवस्थापित वर्क पार्टिशनवर प्रोफाइल्स पुश करते.
डिव्हाइस वापरकर्त्याची ओळख वापरून कर्मचारी SSID शी कनेक्ट होते, ज्यामुळे RADIUS सर्व्हरला त्यांच्या AD ग्रुप सदस्यत्वावर आधारित रोल-बेस्ड ॲक्सेस कंट्रोल (VLAN असाइनमेंट) लागू करण्याची अनुमती मिळते.

परीक्षकाचे भाष्य: हे समाधान गोपनीयता-जतन करणाऱ्या BYOD व्यवस्थापनासाठी User Enrollment योग्यरित्या लागू करते. User Groups ला लक्ष्य करून, कर्मचारी कोणते डिव्हाइस एनरोल करतात याची पर्वा न करता प्रमाणपत्रे त्यांच्यासोबत राहतात. RADIUS द्वारे रोल-बेस्ड ॲक्सेस कंट्रोलचे एकत्रीकरण प्रगत नेटवर्क डिझाइन दर्शवते.

सराव प्रश्न

Q1. तुम्ही तुमच्या Windows 10 उपकरणांवर Root CA, SCEP आणि Wi-Fi प्रोफाइल्स तैनात केले आहेत. प्रमाणपत्रे यशस्वीरित्या स्थापित होतात, परंतु Wi-Fi प्रोफाइल लागू होण्यात अयशस्वी होते, Intune कन्सोलमध्ये 'Error' दर्शविते. याचे सर्वात संभाव्य कारण काय आहे?

टीप: Azure AD ग्रुप्सना प्रोफाइल्स कसे नियुक्त केले आहेत ते तपासा.

नमुना उत्तर पहा

सर्वात संभाव्य कारण म्हणजे ग्रुप टार्गेटिंगमधील विसंगती. जर SCEP प्रोफाइल User Group ला नियुक्त केले असेल, परंतु Wi-Fi प्रोफाइल Device Group ला नियुक्त केले असेल, तर Intune त्यांच्यामधील अवलंबित्व सोडवू शकत नाही. तिन्ही प्रोफाइल्स (Root, SCEP, Wi-Fi) अगदी समान ग्रुप प्रकाराला लक्ष्य केले पाहिजेत.

Q2. तुमच्या सुरक्षा टीमचा असा आदेश आहे की खाजगी की कधीही नेटवर्कवर प्रसारित केल्या जाऊ नयेत, जरी त्या एन्क्रिप्टेड असल्या तरीही. तुम्ही Intune मध्ये कोणती प्रमाणपत्र उपयोजन पद्धत वापरली पाहिजे आणि कोणता अतिरिक्त इन्फ्रास्ट्रक्चर सर्व्हर आवश्यक आहे?

टीप: की जोडी कुठे तयार केली जाते याचा विचार करा.

नमुना उत्तर पहा

तुम्ही SCEP (Simple Certificate Enrollment Protocol) वापरणे आवश्यक आहे. कारण SCEP एंडपॉइंट डिव्हाइसला स्थानिक पातळीवर खाजगी की तयार करण्याची सूचना देते, ती कधीही नेटवर्कवरून जात नाही. या उपयोजनासाठी सर्टिफिकेट ऑथॉरिटीचा ब्रिज म्हणून काम करण्यासाठी Network Device Enrollment Service (NDES) सर्व्हर आवश्यक आहे.

Q3. एक रिमोट कर्मचारी Windows Autopilot द्वारे घरी नवीन लॅपटॉप प्रोव्हिजन करतो. Intune प्रोफाइल्स यशस्वीरित्या तैनात होतात, परंतु डिव्हाइस SCEP प्रमाणपत्र मिळविण्यात अयशस्वी होते. कोणते इन्फ्रास्ट्रक्चर कॉन्फिगरेशन गहाळ असण्याची शक्यता आहे?

टीप: डिव्हाइस इंटरनेटवरून अंतर्गत CA पर्यंत कसे पोहोचते?

नमुना उत्तर पहा

NDES सर्व्हर बहुधा इंटरनेटवर प्रकाशित केलेला नाही. रिमोट उपकरणांना कॉर्पोरेट ऑफिसमध्ये येण्यापूर्वी प्रमाणपत्रांची विनंती करण्यासाठी, NDES URL बाह्यरित्या प्रवेश करण्यायोग्य असणे आवश्यक आहे, आदर्शतः Azure AD Application Proxy द्वारे सुरक्षितपणे प्रकाशित केलेली असावी.

या मालिकेमध्ये पुढे वाचा

DrayTek Vigor राउटर आणि ऍक्सेस पॉईंट्सचे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक DrayTek Vigor राउटर आणि VigorAP ऍक्सेस पॉईंट्सना Purple च्या क्लाउड प्लॅटफॉर्मसह एकत्रित करण्यासाठी टप्प्याटप्प्याने तांत्रिक सूचना प्रदान करते. यामध्ये Guest WiFi साठी DrayTek Captive Portal कॉन्फिगरेशन, सुरक्षित Staff WiFi साठी 802.1X ऑथेंटिकेशन, Walled Garden सेटअप आणि डायनॅमिक VLAN असाइनमेंटसह मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी DrayTek Multiple PSK (PPSK) कॉन्फिगरेशन समाविष्ट आहे. हे हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी Purple तैनात करणाऱ्या IT इंस्टॉलर्स आणि SMB नेटवर्क प्रशासकांसाठी डिझाइन केले आहे.

Purple WiFi सह Zyxel Nebula Cloud आणि USG Integration

हे तांत्रिक संदर्भ मार्गदर्शक Zyxel Nebula Cloud आणि USG Flex Firewalls चे Purple WiFi प्लॅटफॉर्मसोबतच्या एंड-टू-एंड Integration बद्दल माहिती देते. हे गेस्ट Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden सेटअप, 802.1X वापरून सुरक्षित Staff WiFi, आणि डायनॅमिक VLAN असाइनमेंटसह Zyxel Private Pre-Shared Keys (PPSK) वापरून मल्टी-टेनंट नेटवर्क सेगमेंटेशनसाठी टप्प्याटप्प्याने कॉन्फिगरेशन सूचना प्रदान करते. हॉस्पिटॅलिटी, रिटेल आणि मल्टी-टेनंट ठिकाणी WiFi तैनात करणारे IT मॅनेजर्स, MSPs आणि नेटवर्क आर्किटेक्ट्सना PCI DSS, IEEE 802.1X आणि GDPR सह उद्योग मानकांवर आधारित कृतीयोग्य मार्गदर्शन मिळेल.

Alcatel-Lucent Enterprise (ALE) OmniAccess चे Purple WiFi सोबत एकत्रीकरण

हे मार्गदर्शक Alcatel-Lucent Enterprise (ALE) OmniAccess Stellar ॲक्सेस पॉइंट्स आणि Purple WiFi मधील तांत्रिक एकत्रीकरणाचा तपशील देते. यामध्ये Captive Portal रिडायरेक्शन, RADIUS ऑथेंटिकेशन, Walled Garden कॉन्फिगरेशन, सुरक्षित 802.1X Staff WiFi, आणि प्रायव्हेट प्री-शेअर्ड की (PPSK) सह डायनॅमिक VLAN स्टिअरिंग वापरून मल्टी-टेनंट WiFi सेगमेंटेशन समाविष्ट आहे - जे IT व्यवस्थापक आणि नेटवर्क आर्किटेक्ट्सना ALE हार्डवेअरवर आयडेंटिटी-बेस्ड नेटवर्क्स तैनात करण्यासाठी एक संपूर्ण, कृतीयोग्य संदर्भ प्रदान करते.